Online behavioural advertising
Online behavioural advertising (OBA) blijft een hot topic in het privacyrecht. Dat is zo omdat OBA op een fundamenteel punt verschilt van het klassieke adverteren: de advertenties zijn afgestemd op het online gedrag van de computergebruiker. In plaats dat u de krant openslaat en dezelfde advertenties leest als alle andere abonnees, krijgt u bij OBA op een website advertenties te zien die zijn afgestemd op het zoek- en klikgedrag dat u vertoont en/of het profiel dat van u is opgebouwd. Aangezien advertenties op een website vaak door een extern advertentiebedrijf worden verzorgd die dat ook voor andere websites doet, is goed denkbaar dat dit advertentiebedrijf daarbij een profiel van uw online gedrag op vele honderden, zo niet duizenden, websites opbouwt en dat de advertenties worden getoond op basis van dit (zeer) omvangrijke profiel. Het identificeren van u als dezelfde persoon die verschillende websites bezoekt gebeurt vaak door middel van cookies.
Adverteerders pleiten voor opt-out regime
De Europese reclamebureaus, verenigd in het Internet Advertising Bureau Europe en de European Advertising Standards Alliance, hebben recent een aanbeveling gepresenteerd over online behavioural advertising. In deze aanbeveling staat onder meer dat bij gebruik van online behaviroual advertising (OBA), de gebruiker hier middels een informatieicoon op gewezen moet worden (principe 1) en vervolgens via bijvoorbeeld dat icoon op eenvoudige wijze bezwaar moet kunnen maken tegen de betreffende verzameling van persoonsgegevens (principe 2):
Principle II - User choice over Online Behavioural Advertising
A. Each Third Party that participates in the delivery of OBA should make available a userfriendly mechanism, in the form of an icon linking to the OBA User Choice Site, for web users to exercise their choice with respect to the collection and use of data for OBA purposes. This mechanism should be linked to the enhanced notice detailed in Principle I. Where a web user exercises his/her choice and objects to OBA data collection, OBA processes should no longer be used by that entity to facilitate the delivery of targeted online advertising to that user’s browser. This principle provides that all web users who receive OBA, either via a computer, or other device, should enjoy choice over OBA activity through the OBA User Choice Site.D
De reclamebureaus stellen dus een "opt-out" regime voor. Met andere woorden: verzamelen van persoonsgegevens (om de advertentie op af te stemmen) is volgens de adverteerders toegestaan, totdat de computergebruiker hiertegen bezwaar maakt. Een begrijpelijke opstelling vanuit het perspectief van de reclamebureaus. Iedere andere opstelling zou immers de facto het einde van OBA betekenen. De website waar het recht van opt-out kan worden uitgeoefend is overigens al snel het "volg-me-niet"-register gaan heten.
Artikel 29 werkgroep vereist opt-in regime
De artikel 29 werkgroep is het hier, uiteraard, niet mee eens. De werkgroep wijst er op dat op grond van nieuwe regels er voor het plaatsen van cookies [intlink id="7585" type="post"]toestemming moet worden gevraagd[/intlink]:
ad network providers must provide the necessary information before the cookie is sent and rely on users' actions (e.g. clicking a box stating "I accept") to signify their agreement to receive the cookie and to be tracked for the purposes of serving behavioral ads
Niet vertrouwen op browserinstellingen
Toestemming mag volgens de werkgroep niet verondersteld worden wanneer de browserinstelling toevallig op het accepteren van third-party cookies staat. Dat is overigens geheel in lijn met hun [intlink id="2857" type="post"]eerdere standpunt hierover[/intlink].
Per advertentienetwerk toestemming vragen
Verder wijst de werkgroep er op dat wanneer op een website verschillende advertentienetwerken actief zijn, ieder van die netwerken aan de computergebruiker om toestemming zal moeten vragen:
Thus, the legal provisions apply to each ad network provider. Furthermore, the Working Party considers that users should not be deprived of their statutory right to decide to receive cookies (or not) simply because the website operator has contracts with multiple ad network providers.
Wel kan de werkgroep ermee instemmen dat een advertentienetwerk niet voor iedere toegang tot een cookie, bijvoorbeeld bij iedere volgende advertentie, weer opnieuw toestemming aan de eindgebruiker hoeft te vragen. Voorwaarde daarvoor wel is dat het doel waarvoor de cookies worden geraadpleegd/gewijzigd niet anders is ten opzichte van het doel zoals dat ten tijde van het geven van de toestemming aan de eindgebruiker kenbaar is gemaakt.
Juist, volledig en actief informeren eindgebruiker
Van geldige toestemming kan volgens de werkgroep alleen sprake zijn wanneer de betreffende computergebruiker vooraf op een juiste wijze is geinformeerd en weet en begrijpt waarvoor hem toestemming wordt gevraagd (zie in dat kader ook [intlink id="7782" type="post"]hun recente opinie over toestemming[/intlink]). Dat betekent onder meer dat de informatie duidelijk moet zijn. Een icoontje zal hiervoor niet volstaan, want dit wordt volgens de werkgroep niet als zodanig begrepen. De betreffende informatie moet juist actief aan de eindgebruiker worden voorgeschoteld:
It must be given in a way that average Internet users will understand it. (...) However, nowadays an icon will mean very little to users. (...) Information must be given directly to individuals, it is not enough for information to be available somewhere
Conclusie: herhaling van zetten, geen praktische oplossing
Is de brief nieuw? Nee, zeker niet. Al het voorgaande is eigenlijk al vele malen eerder door de artikel 29 werkgroep gezegd. De praktijk laat echter zien dat het standpunt van deze werkgroep op dit punt nauwelijks navolging vindt. Online behavioural advertising vindt op (zeer) grote schaal plaats. Naar mijn inschatting zijn de belangen (bij zowel aanbieders als klanten) ondertussen al dusdanig groot geworden dat het zeer lastig, zo niet onmogelijk, zal blijken te zijn om af te dwingen dat het standpunt van de werkgroep navolging vindt.
Saillant detail daarbij is ook dat de werkgroep zelf niet met concrete oplossingen komt. In plaats van de industrie een (werkbaar?) alternatief te presenteren, heeft de werkgroep tot nu toe alleen bestaande initiatieven negatief beoordeeld. Vervolgens wordt steeds de industrie opgeroepen (weer) een nieuwe poging te doen:
The Working Party encourages all industry-stakeholders to work together towards finding workable solutions
Een ander opvallend punt is dat in de opinie alleen gesproken wordt over het gebruik van tracking cookies, terwijl er vele andere manieren bestaan om internetgebruikers online te volgen. In een eerdere column in Informatie Professional schreef ik al eens dat ik verwacht dat het bestrijden van cookies alleen maar zal leiden tot de grotere populariteit van alternatieve volgtechnieken. Sommige van die alternatieve volgtechnieken kunnen geheel onzichtbaar worden toegepast. Is de privacy van de eindgebruiker bij gebruik van onzichtbare technieken niet nog veel slechter af dan bij gebruik van (zichtbare) cookies?